Pegasus ha colpito ancora. Ne abbiamo già parlato e previsto un ritorno. Così è stato: 180 giornalisti e 30 capi di stato sono stati sorvegliati dallo spyware che aveva già fatto parlare di sé per una falla nella sicurezza a WhatsApp sviluppata da NSO Group, la società israeliana sua creatrice.
Vediamo cosa è successo questa volta.
Indice degli argomenti
Spyware Pegasus: l’indagine internazionale
Da un’indagine portata avanti da testate internazionali, tra cui l’autorevole Washington Post, è emerso che il malware di spionaggio Pegasus ha attaccato numerosi dispositivi di giornalisti, attivisti e capi di stato: si parla, come dicevamo, di 180 reporter e 30 capi di stato.
Da quanto dichiarato a seguito dell’indagine, il software israeliano è stato utilizzato da alcuni governi del mondo come strumento di spionaggio nei confronti di giornalisti, attivisti e manager. Tra questi governi che ne hanno fatto uso ci sarebbe anche quello ungherese presieduto da Victor Orban.
Nato come software per controllare i traffici di terroristi e criminali a livello internazionale, del valore di 8 milioni di dollari, Pegasus ha coinvolto più di 50.000 numeri di telefono localizzati nei paesi che sono soliti sorvegliare i propri cittadini, clienti della NSO Group e appartenenti a numerosi giornalisti di testate internazionali autorevoli, come CNN, New York Times, Wall Street Journal, Financial Times, Voice of America e Al Jazeera, così come quelli di diversi capi di stato.
In Ungheria, ad esempio, il malware di spionaggio sembra aver preso di mira giornalisti investigativi e manager di media indipendenti su ordine del presidente ungherese Victor Orban, nella sua guerra contro i media.
Ma anche persone vicine a Jamal Khashoggi, il giornalista “saudita progressista” del Washington Post che aveva apertamente criticato l’operato del principe ereditario dell’Arabia Saudita, Mohammad bin Salman. Lo stesso Khashoggi si era anche opposto all’intervento militare saudita in Yemen e fu ucciso all’interno dell’Ambasciata Saudita a Istanbul dallo stesso principe ereditario, secondo quanto dichiarato dalla CIA.
Gli attacchi con Pegasus: il caso WhatsApp
La notizia del nuovo attacco Pegasus è stata divulgata dalla ONG Forbidden Stories e da Amnesty International e potrebbe essere considerata la più grande violazione della privacy dai tempi di Prism, programma americano di sorveglianza elettronica di cui Edward Snowden rivelò l’esistenza nel 2013.
Ricordiamo che già nel 2019 una falla nella sicurezza di WhatsApp aveva mietuto numerose vittime, tra cui il Presidente del Parlamento catalano Roger Torrent. WhatsApp si era mossa con una causa a NSO Group per aver sfruttato la vulnerabilità delle videochiamate per attaccare gli utenti e la stessa Amnesty International aveva già allora avviato una causa legale contro la piattaforma social tra le più usate al mondo per altri numerosi attacchi contro attivisti, politici e giornalisti.
Il ricorso fu respinto dal tribunale di Tel Aviv, nonostante il gruppo di ricerca canadese Citizen Lab e testate giornalistiche come The Guardian, El País e il Washington Post avessero dimostrato che Pegasus era stato usato nel settembre 2019 per entrare nel telefono di Omar Radi, giornalista investigativo marocchino, in quello di Bezos, di Khashoggi, Abdulaziz e molti altri, tra cui un giornalista del New York Times, Ben Hubbard, e Osama Bin Laden.
Pegasus: da strumento di difesa a mezzo di attacco
Come abbiamo già avuto modo di approfondire in precedenza, il malware di spionaggio Pegasus è stato sviluppato dalla società israeliana NSO Group per contrastare il crimine e soprattutto il terrorismo.
L’attacco attraverso Pegasus viene avviato mediante un’esca, ovvero l’intrusione, nel caso degli smartphone, tramite una videochiamata (prevalentemente su WhatsApp) in cui non serve che la vittima risponda.
Lo spyware si attiva e, attraverso la finta chiamata, sfruttando tecniche di phishing, di social engineering e la navigazione Web, riesce ad “entrare” nel dispositivo e può attivare l’ascolto delle conversazioni, vedere i contenuti archiviati nella memoria interna, scattare foto e altro.
Lo scopo dello spyware è spiare i movimenti della vittima, fino all’uso “discreto” del microfono per una sua costante geolocalizzazione.
Questa attività si unisce con un’attività molto più sofisticata: la cosiddetta spia silente. Ovvero, mentre stiamo navigando su un qualsiasi sito dal browser o da motori di ricerca, prevalentemente su siti HTTP (quelli HTTPS sono apparentemente più “sicuri”, la “s” finale sta infatti per sito crittografato), questa spia ha la capacità di reindirizzare la nostra ricerca su siti ulteriori che a loro volta aprono degli indirizzi mirati, a cui si aggancia automaticamente il software: può trattarsi di servizi degli operatori e quindi inviti a scaricare app, suonerie e offerte oppure dell’infrastruttura su cui poggia il device fisico, ossia antenne, ponti e ripetitore di aggancio.
Guerra ibrida e app spia: il ritorno di Pegasus e l’uso degli spyware nel cyberspionaggio
In base all’uso che si fa di un software, ovviamente se ne può modificare lo scopo.
“Tutti gli spyware sono strumenti essenziali per le indagini criminali, ma il loro uso conferisce un potere enorme, capace di destabilizzare uno Stato. Tutta la supply chain della loro messa in produzione va controllata, al pari del loro uso. Nei nostri dispositivi c’è la copia della nostra vita. Chi prende il controllo del nostro telefono può fare tutto senza essere notato, anche metterci dentro immagini pedopornografiche e poi denunciarci. E se il bersaglio fosse un sindaco o un ministro? È urgente affrontare il tema riprendendo la proposta che feci da deputato nella scorsa legislatura. Non si può pensare sempre e solo alle registrazioni telefoniche o ambientali”, queste le parole di Stefano Quintarelli, presidente dell’Advisory Group on Advanced technologies delle Nazioni Unite.
Mobile Verification Toolkit, il tool per smascherare Pegasus
Si chiama Mobile Verification Toolkit (MVT) lo strumento in grado di rilevare un’eventuale violazione del proprio smartphone o dispositivo mobile. È stato sviluppato dai ricercatori di Amnesty International e reso disponibile gratuitamente per tutti su GitHub.
Il tool può essere installato su sistemi macOS, Linux e Windows (in quest’ultimo caso, occorre installare Windows Subsystem for Linux, WSL) e funziona per Android sia per iPhone (che, come risulta dalle indagini condotte dalla stessa Amnesty International, è il dispositivo preso maggiormente di mira dallo spyware sviluppato dalla NSO group).
Il suo funzionamento non è semplicissimo ma in poco tempo, seguendo le dettagliate istruzioni d’uso (disponibili solo per sistemi macOS e Linux) pubblicate sempre da Amnesty International, consente di identificare e confermare una eventuale compromissione dei dispositivi mobile.
L’utilizzo dello strumento comporta il backup del telefono su un computer separato e l’esecuzione di un controllo su quel backup. C’è da dire, inoltre, che il tool funziona da riga di comando o sul terminale e serve quindi una certa abilità tecnica e un po’ di pazienza per usarlo al meglio.
Inoltre, la stessa Amnesty afferma nella sua guida all’uso che l’analisi effettuata dal tool sui backup dei telefoni Android è limitata, ma consente comunque di controllare la presenza di eventuali messaggi SMS e APK potenzialmente dannosi.
Per controllare se Pegasus è nascosto su un iPhone, il modo più semplice per iniziare è fare un backup criptato della memoria (in questo caso, le istruzioni sono fornite direttamente da Apple) utilizzando iTunes o Finder su un Mac (è però necessario installare prima Xcode e le librerie Python 3) o un PC. Fatto questo, si può scaricare e installare MVT di Amnesty.
Dopo aver eseguito MVT, apparirà a video una lista di avvisi che elencano i file sospetti o un loro comportamento anomalo. Occorre tener presente, però, che un avvertimento non significa necessariamente che il proprio dispositivo è stato infettato da Pegasus.
Le vulnerabilità sfruttate da Pegasus
Nel caso specifico di Pegasus, sono state sfruttate le vulnerabilità dei software con cui interagisce dai suoi stessi programmatori e di solito si tratta della vulnerabilità definite zero-day, ossia sconosciute al mondo, che vengono vendute e comprate in circuiti criminali e attraverso agenzie di brockeraggio legali per consentire l’accesso ai software spia.
Inoltre, ancora più inquietante è la possibilità di entrare nei dispositivi a zero-click, senza che la vittima debba cliccare su un link malevolo, come dichiarato da Claudio Guarnieri del Citizen Lab dell’università di Toronto. Un esempio viene da iMessage, installato abitualmente sull’iPhone.
Ricordiamo che già nel 2016 Pegasus era stato trovato negli iPhone in vulnerabilità che si attivavano cliccando su una videochiamata WhatsApp persa da un numero con prefisso svedese. In quel modo venivano controllati il microfono e la fotocamera del telefono, venivano raccolte le password e si aveva accesso a foto e messaggi di posta elettronica. Apple ha poi rilasciato un aggiornamento nell’agosto 2016 per chiudere queste vulnerabilità.